فيروس TrickMo البنكي ديال Android كيستعمل بلوكتشين TON فـ C2 وكيرجع التليفونات نقط اختراق للشبكات

خلاصة: الباحثين فـ ThreatFabric لاحظو نسخة جديدة من TrickMo بين يناير وفبراير 2026 كتستعمل بلوكتشين The Open Network (TON) فالاتصالات ديال خوادم القيادة والتحكم (C2)، وزادو ليها قدرات ديال SSH tunnelling و SOCKS5 proxy. هاد البرمجية الخبيثة كترجع أجهزة Android المخترقة نقط ديال network pivots ونطاقات لخروج البيانات (traffic-exit nodes)، وكتستهدف مستخدمي البنوك والعملات المشفرة ففرنسا وإيطاليا والنمسا. هادشي كيمثل تطور كبير من مجرد سلوك ديال تروجان بنكي عادي لاستغلال واسع للبنية التحتية.

شنو واقع

فيروس TrickMo، اللي كيتعتابر برمجية خبيثة للاستيلاء على الأجهزة (DTO) نشط من أواخر 2019، تطور بزاف. فالبداية كانو CERT-Bund و IBM X-Force رصدوه حيت كيستغل خدمات إمكانية الوصول (accessibility services) فـ Android باش يسرق كلمات المرور لمرة وحدة (OTPs)، ولكن دابا، البرمجية بدلات البنية ديالها بشكل كبير لدرجة مابقاش باين الفرق بين تروجان بنكي وأداة لاختراق الشبكات.

هاد النسخة اللي رصداتها ThreatFabric بين يناير وفبراير 2026، وتسمات TrickMo C، كتعتامد على آلية توصيل من جوج مراحل: تطبيقات droppers مخبية فصورة نسخ إباحية ديال TikTok كتنتشر فـ Facebook كتمثل الـ حمولة (payload) الأولى. هاد التطبيقات (الأسماء ديال الحزم: com.app16330.core20461 أو com.app15318.core1173) كتيليشارجي وحدة APK كتخدم فالخلفية (dex.module) من البنية التحتية ديال الـ مهاجم فاش كيبدا البروسيس. التطبيق الخبيث الأصلي كيتخبى تحت سمية Google Play Services بأسماء حزم بحال uncle.collop416.wifekin78 أو nibong.lida531.butler836.

هاد التحول فالبنية كيركز بزاف على اتصال الـ C2. بلاصت ما يستعملو طرق DNS العادية والاتصال المباشر بالأنترنت، TrickMo ولا دابا شاحن معاه واحد الـ TON proxy مدمج اللي كيبدأ فـ loopback port ملي كيبدا التطبيق يخدم. كاع طلبات الـ HTTP ديال الـ C2 كتدوز من هاد الـ proxy لأسماء نطاقات .adnl اللي كيتم تحليلها عبر شبكة TON. هاد المقاربة كتخبي الـ traffic الخبيث وسط النشاط العادي والمشروع ديال بلوكتشين TON، وهادشي كيصعب بزاف الجهود باش يطيحو السيرفورات ولا يبلوكيو الشبكة.

من غير سرقة الـ OTPs، الـ dex.module الجديد كيخدم نظام فرعي للشبكات كيدعم أوامر الاستطلاع (reconnaissance): curl، dnslookup، ping، telnet، و traceroute. هاد الأوامر كتنفذ من بلاصة الضحية فالشبكة، وهادشي كيعطي للـ مهاجم رؤية واضحة للشبكات المنزلية وللشبكات دالشركات اللي مكونيكطي معاها التليفون المخترق. البرمجية الخبيثة كتخدم حتى SSH tunnelling و SOCKS5 proxy موثق، وهادشي كيحول تليفونات Android المخترقة لـ traffic-exit nodes اللي كتفتح اتصالات من نفس البيئة دالشبكة ديال الضحية.

المصدر ما حددش شحال ديال الأجهزة اللي تصابت ولا الحجم ديال الاختراق فالدول التلاتة المستهدفة.

TrickMo باقي محافظ على القدرات القديمة ديالو بحال تسجيل النقرات (keystroke logging)، تسجيل الشاشة، اختراق الـ SMS، البث المباشر للشاشة، وعمليات تصيد (phishing) ديال بيانات اعتماد. وهاد الباحثين كتاشفو حتى جوج خصائص باقين ما تفاعلوش: حزمة ديال إطار عمل Pine hooking مدمجة، وصلاحيات عندها علاقة بـ NFC. هاد الخصائص بجوج باقين ما خدامينش حاليا، وهادشي كيشير باللي المطورين مخليينهم لشي تحديث فالمستقبل.

علاش هادشي مهم

هاد التطور كيبدل الخطر بالنسبة للمدافعين والشركات فمنطقة الشرق الأوسط وشمال إفريقيا (MENA) والعالم كله. TrickMo تحول من مجرد سارق بيانات للخدمات البنكية لـ منصة عامة لاختراق الشبكات. التليفونات المخترقة كترجع أجهزة موثوقة فالشبكات المنزلية وديال الشركات، وهادشي كيخليهم يتجاوزو وسائل الحماية الجدارية وأنظمة كشف الاحتيال المبنية على الـ IP فالبنوك، التجارة الإلكترونية، ومنصات العملات المشفرة.

بالنسبة لمحللي الـ SOC، هادشي كيعني باللي الأجهزة المخترقة تقدر تستعمل كـ network pivots دائمة للتحرك الجانبي (lateral movement) فالشبكات الداخلية. تليفون شي مستخدم مخترق بـ TrickMo كيشكل نقطة نهاية (endpoint) موثوقة فالشبكة، ومنو يقدر الـ مهاجم يدير الاستطلاع، يسرق البيانات، أو يأسس تموقع دائم وعميق (persistence). القدرات ديال SOCKS5 proxy كتخلي المهاجمين يدوزو الـ traffic الخبيث عبر عنوان الـ IP ديال الضحية، وهادشي كيفشل أنظمة كشف الاحتيال اللي كتعتامد على الموقع الجغرافي أو سمعة الـ IP.

بالنسبة لأي مطور ومدير أنظمة (Sysadmin)، الخطر الأساسي هو الانكشاف ديال سلسلة التزويد: التطبيقات الـ droppers باقا كتنتشر عبر وسائل التواصل الاجتماعي، والمواقع اللي كتهوستيها راها جزء من حملة باقا نشطة. الشركات ما بقاوش يقدرو يفترضو باللي الأجهزة الشخصية ديال الموظفين—حتى هادوك اللي ما خاضعينش لـ MDM ديال الشركة—معزولين على مخاطر الخدمة، خصوصا ملي الموظفين كيخدمو تطبيقات البنوك أو العملات المشفرة فنفس التليفون.

استعمال TON للـ C2 كيثير الانتباه من ناحية الحماية. حيت باش تبلوكي الـ traffic ديال شبكة TON فمستوى الشبكة (network level)، خاصك تبلوكي الشبكة اللامركزية كاملة، ماشي غير نطاقات C2 محددة. طرق الحماية التقليدية بحال DNS sinkholing وتطييح الـ IPs ولات بلا فايدة.

الأنظمة المتضررة والـ CVEs

• نظام Android (كاع النسخ اللي قادرة تخدم هاد البرمجية الخبيثة)
• تطبيقات البنوك وتطبيقات محافظ العملات المشفرة فـ Android
• الشبكات المنزلية وديال الشركات اللي كيتكونيكطاو ليها أجهزة Android المخترقة

ما كاين حتا CVE مخصص لحدود وقت النشر.

شنو خاصنا نديرو

المقال الأصلي ما عطاش توصيات مباشرة ديال الحماية. ولكن خاصنا كـ مدافعين نردو البال لـ:

• نراقبو وجود هاد الحزم (com.app16330.core20461, com.app15318.core1173, uncle.collop416.wifekin78, nibong.lida531.butler836) فـ الأجهزة الشخصية وديال الخدمة اللي عندها وصول لأنظمة حساسة.
• نبلوكيو أو نحدو من انتشار التطبيقات الـ droppers اللي كتخبى فصورة نسخ ديال TikTok فشبكات الشركة.
• نطبقو أدوات اكتشاف واستجابة على مستوى نقط النهاية (EDR) فـ أجهزة Android اللي قادرة تكتشف استغلال خدمات إمكانية الوصول (accessibility services) وإعدادات شبكة الـ proxy اللي ماشي عادية.
• نواعييو المستخدمين فالدول المستهدفة (فرنسا، إيطاليا، النمسا) باش يتيليشارجيو التطبيقات غير من المتاجر الرسمية، وماشي عبر روابط فمواقع التواصل الاجتماعي.
• نراجعو سجلات الشبكة (network logs) بحثا على اتصالات خارجة لأسماء نطاقات .adnl وأي نشاط ديال SOCKS5 proxy ماشي عادي جاي من أجهزة الموبيل.

أسئلة باقا مفتوحة

• شحال ديال التليفونات أو المستخدمين اللي تخترقو بهاد النسخة.
• الامتداد الجغرافي ودرجة الخطر ديال هاد الاختراق ففرنسا، إيطاليا، والنمسا من غير فترة المراقبة اللي تذكرات.
• واش الخصائص اللي باقا ما خداماش بحال إطار عمل Pine hooking وصلاحيات NFC غادي تتفعل فشي نسخ جاية، وإمتى بالظبط.
• شنو هما أسماء نطاقات .adnl المحددة والبنية التحتية ديال TON اللي تستعملات فالاتصالات ديال C2.
• لمن كيرجع هادشي (Attribution): شكون كيتحكم فـ TrickMo وشنو الأهداف الكبيرة ديال الحملة ديالهم.
• واش كاينين شي نسخ خرى كتستهدف مناطق أو قطاعات بنكية خرى وباقين ما تكتاشفوش.

Source

New TrickMo Variant Uses TON C2 and SOCKS5 to Create Android Network Pivots